Privacidad y protección de datos

Ley de Protección de Información Personal (APPI)

Lectura de aproximadamente 5 minutos

Última actualización: 2026-03-28

Qué es la Ley de Protección de Información Personal

La Ley de Protección de Información Personal (nombre oficial: Ley sobre la Protección de Información Personal) es una ley japonesa que establece las reglas para el manejo adecuado de la información personal. Fue promulgada en 2003 y entró en plena vigencia en 2005. Posteriormente, se realizaron reformas importantes en 2015, 2020 y 2023 para adaptarse al avance de la sociedad digital.

Esta ley obliga a los operadores que manejan información personal (operadores de manejo de información personal) a especificar y publicar el propósito de uso, implementar medidas de gestión de seguridad, restringir la provisión a terceros, entre otros. Con la reforma de 2015, se estableció la Comisión de Protección de Información Personal, unificando el sistema de supervisión.

Prácticamente todos los servicios web y aplicaciones que los individuos utilizan cotidianamente manejan información personal y están sujetos a la regulación de esta ley. Es importante que los usuarios también comprendan sus derechos.

Puntos principales de la reforma de 2022

La reforma que entró en vigor en abril de 2022 fue una reforma importante que amplió significativamente los derechos individuales y fortaleció las obligaciones de los operadores.

  • Obligación de notificación de filtraciones: Se hizo obligatoria la notificación a la Comisión de Protección de Información Personal y la comunicación al interesado cuando se produce una filtración de datos personales de cierta escala. Lo que antes era un esfuerzo voluntario se elevó a obligación legal
  • Ampliación de los derechos individuales: Se flexibilizaron los requisitos para el derecho de solicitar la suspensión de uso y eliminación, permitiendo solicitudes no solo en caso de obtención ilícita, sino también cuando ya no es necesario utilizar los datos o cuando se ha producido una filtración de datos
  • Creación de la información relacionada con personas: Se añadieron como objeto de regulación los datos que por sí solos no pueden identificar a un individuo pero que combinados con otra información sí pueden hacerlo, como IDs de cookies e historiales de navegación, bajo la categoría de "información relacionada con personas"
  • Creación de la información procesada con seudónimos: Se estableció un marco para promover el uso de información procesada de manera que no se pueda identificar a un individuo sin cotejarla con otra información, para fines de análisis interno
  • Endurecimiento de las sanciones: Se elevó el límite máximo de multas para personas jurídicas a 100 millones de yenes (anteriormente 500.000 yenes)

Definición y alcance de la información personal

Comprender con precisión la definición de "información personal" en la Ley de Protección de Información Personal es la base para las decisiones prácticas.

  • Información personal: Información relativa a un individuo vivo que puede identificar a un individuo específico, como nombre, fecha de nacimiento, dirección, etc. También incluye "códigos de identificación personal" como datos de reconocimiento facial y el número My Number
  • Datos personales: Información personal que constituye una base de datos de información personal. Información organizada sistemáticamente en un estado que permite la búsqueda
  • Información personal que requiere cuidado especial: Información como raza, creencias, historial médico, antecedentes penales, discapacidades, etc., que puede generar discriminación o prejuicios injustos. Su obtención requiere en principio el consentimiento del interesado
  • Información relacionada con personas: IDs de cookies, identificadores de dispositivos, historiales de navegación, historiales de compras, etc. Por sí solos no constituyen información personal, pero cuando se vinculan con datos personales en el destino de provisión, se requiere el consentimiento del interesado

En comparación con el GDPR, la Ley de Protección de Información Personal de Japón utiliza como criterio "si se puede identificar a un individuo", mientras que el GDPR adopta un criterio más amplio de "si está relacionado con un individuo". Por lo tanto, las direcciones IP y las cookies se consideran datos personales bajo el GDPR, pero en la ley japonesa a menudo no constituyen información personal por sí solos.

Derechos individuales y uso práctico

La Ley de Protección de Información Personal no solo regula a los operadores, sino que también garantiza los derechos de los individuos. Conocer estos derechos y ejercerlos cuando sea necesario contribuye a la gestión de la huella digital.

  • Derecho de solicitud de divulgación: Puede verificar el contenido de sus datos personales que posee el operador. Es el primer paso para comprender qué datos se recopilan y almacenan
  • Derecho de solicitud de corrección, adición y eliminación: Puede solicitar la corrección o eliminación cuando el contenido de los datos personales retenidos no es factual
  • Derecho de solicitud de suspensión de uso y eliminación: Con la reforma de 2022, se flexibilizaron los requisitos, permitiendo solicitudes también cuando ya no es necesario utilizar los datos o cuando se ha producido una filtración
  • Derecho de solicitud de suspensión de provisión a terceros: Puede solicitar que se detenga la provisión de sus datos a terceros

Como punto práctico, las solicitudes de divulgación pueden tener un coste (dentro de un rango razonable). Además, el punto de contacto para las solicitudes es la ventana indicada en la política de privacidad de cada operador. Si no está satisfecho con la respuesta, puede consultar a la Comisión de Protección de Información Personal.

Ser consciente del principio de minimización de datos y no proporcionar información personal innecesaria al registrarse en servicios también es una medida de autodefensa efectiva.

Conceptos erróneos comunes

La Ley de Protección de Información Personal solo se aplica a grandes empresas
Con la reforma de 2015, todos los operadores que utilizan información personal en sus negocios están sujetos, independientemente del número de registros de información personal que manejen. Los autónomos y freelancers también son operadores de manejo de información personal si gestionan listas de clientes o listas de correo.
Las cookies están fuera del alcance de la regulación de la Ley de Protección de Información Personal
Aunque las cookies por sí solas a menudo no constituyen información personal, con la reforma de 2022 se añadieron como objeto de regulación bajo la categoría de "información relacionada con personas". Cuando se proporcionan datos de cookies a terceros y se vinculan con datos personales en el destino, se requiere el consentimiento del interesado.

Términos relacionados

GDPR (Reglamento General de Protección de Datos) El reglamento integral de la Unión Europea que rige la protección de datos perso… Principio de minimización de datos Un principio fundamental de privacidad que establece que las organizaciones debe… Filtración de datos Un incidente en el que información personal o datos confidenciales en poder de u… Huella digital El conjunto de rastros dejados por toda la actividad en línea, que abarca tanto … Cookie Un pequeño archivo de datos almacenado en el navegador por un sitio web para rec…

Artículos relacionados

Leyes de privacidad globales - Comparación entre GDPR, CCPA y APPI de Japón Un panorama de las principales regulaciones de privacidad en el mundo y los derechos que otorgan a l… Qué hacer tras una filtración de datos - Guía de respuesta paso a paso Aprende los pasos concretos a seguir cuando tu información personal se ve comprometida y cómo minimi…
← Glosario